Processus de certification ISO 27001 : Un guide étape par étape

  • December 16, 2021

ISO 27001 est une norme rigoureuse et elle peut être intimidante à aborder si vous êtes certifié pour la première fois.

Par où commencer ? Quelles politiques et contrôles aurez-vous besoin ? Comment savoir si vous êtes prêt pour un audit ?

Comprendre le processus de certification ISO 27001 peut vous aider à vous préparer pour un audit réussi — et à éliminer beaucoup de stress en cours de route.

Dans cet article, nous expliquerons le processus de certification ISO 27001, y compris ce que les organisations doivent faire pour se préparer et ce qui se passe pendant chaque phase de l'audit de certification.

Les phases du processus de certification ISO 27001

Pour obtenir la certification ISO 27001, vous devrez subir une série d'audits. Voici ce à quoi vous pouvez vous attendre pour préparer et compléter votre certification.

Phase un : créer un plan de projet

Qui, au sein de votre organisation, supervisera le processus, fixera les attentes et gérera les jalons ? Comment obtiendrez-vous l'adhésion de la direction de l'entreprise ? Allez-vous engager un consultant ISO 27001 pour vous aider à naviguer dans le processus ?

Se renseigner sur les normes ISO 27001 et ses 114 contrôles est une partie clé de ce processus. Un excellent point de départ est notre guide approfondi de l'ISO 27001.

Phase deux : définir la portée de votre SMIS

Chaque entreprise est unique et héberge différents types de données. Avant de construire votre SMIS, vous devrez déterminer exactement quel type d'informations vous devez protéger.

Pour certaines entreprises, la portée de leur SMIS inclut l'ensemble de leur organisation. Pour d'autres, elle n'inclut qu'un département ou un système spécifique.

Votre équipe devra discuter de ce que vous voulez voir représenté dans la déclaration de portée de votre certificat ISO 27001.

Commencez par vous poser la question :

“Quel service, produit ou plateforme intéresse le plus nos clients en tant que partie de notre certificat ISO 27001 ?”

Phase trois : effectuer une évaluation des risques et une analyse des écarts

Une évaluation formelle des risques est une exigence pour la conformité ISO 27001. Cela signifie que les données, l'analyse et les résultats de votre évaluation des risques doivent être documentés.

Pour commencer, considérez votre base de référence pour la sécurité. Quelles obligations légales, réglementaires ou contractuelles votre entreprise doit-elle respecter ?

De nombreuses startups qui n'ont pas d'équipe de conformité dédiée choisissent d'engager un consultant ISO pour les aider dans leur analyse des écarts et leur plan de remédiation. Un consultant ayant de l'expérience dans le travail avec des entreprises comme la vôtre peut fournir des conseils d'experts pour vous aider à répondre aux exigences de conformité.

En outre, ils peuvent vous aider à établir des bonnes pratiques qui renforcent votre posture de sécurité globale.

Phase quatre : concevoir et mettre en œuvre des politiques et des contrôles

Maintenant que vous avez identifié les risques, vous devrez décider comment votre organisation y répondra. Quels risques êtes-vous prêt à tolérer et lesquels devez-vous aborder ?

Votre auditeur voudra examiner les décisions que vous avez prises concernant chaque risque identifié lors de votre audit de certification ISO 27001. Vous devrez également produire une Déclaration d'Applicabilité et un Plan de Traitement des Risques comme preuves de votre audit.

La Déclaration d'Applicabilité résume et explique quels contrôles et politiques ISO 27001 sont pertinents pour votre organisation. Ce document est l'un des premiers que votre auditeur externe examinera lors de votre audit de certification.

Le Plan de Traitement des Risques est un autre document essentiel pour la certification ISO 27001. Il enregistre comment votre organisation répondra aux menaces que vous avez identifiées lors de votre processus d'évaluation des risques.

La norme ISO 27001 présente quatre actions :

  • Modifier le risque en établissant des contrôles réduisant la probabilité qu'il se produise
  • Éviter le risque en empêchant les circonstances où il pourrait se produire
  • Partager le risque avec un tiers (c'est-à-dire externaliser les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
  • Accepter le risque parce que le coût de le traiter est supérieur aux dommages potentiels

Ensuite, vous mettrez en œuvre des politiques et des contrôles en réponse aux risques identifiés. Vos politiques devraient établir et renforcer les meilleures pratiques de sécurité, comme exiger des employés qu'ils utilisent l'authentification multi-facteurs et verrouillent leurs appareils lorsqu'ils quittent leurs postes de travail.

Phase cinq : terminer la formation des employés

La norme ISO 27001 exige que tous les employés soient formés à la sécurité de l'information. Cela garantit que tout le monde au sein de votre organisation comprend l'importance de la sécurité des données et leur rôle dans l'obtention et le maintien de la conformité.

Phase six : documenter et collecter des preuves

Pour obtenir la certification ISO 27001, vous devrez prouver à votre auditeur que vous avez établi des politiques et des contrôles efficaces et qu'ils fonctionnent comme l'exige la norme ISO 27001.

La collecte et l'organisation de toutes ces preuves peuvent être extrêmement chronophages. Le logiciel d'automatisation de la conformité pour ISO 27001 peut éliminer des centaines d'heures de travail fastidieux en collectant ces preuves pour vous.

Phase sept : compléter un audit de certification ISO 27001

Dans cette phase, un auditeur externe évaluera votre Système de Management de la Sécurité de l'Information (SMSI) pour vérifier qu'il répond aux exigences de la norme ISO 27001 et émettre votre certification.

Un audit de certification se déroule en deux étapes. Tout d'abord, l'auditeur effectuera un audit de Phase 1, où il examinera la documentation de votre SMSI pour s'assurer que vous avez mis en place les bonnes politiques et procédures.

Ensuite, un audit de Phase 2 examinera vos processus métier et vos contrôles de sécurité. Une fois les audits de Phase 1 et de Phase 2 terminés, il vous sera délivré une certification ISO 27001 valable pour trois ans.

Phase huit : maintenir une conformité continue

La norme ISO 27001 repose sur l'amélioration continue. Vous devrez continuer à analyser et à examiner votre SMSI pour vous assurer qu'il fonctionne toujours efficacement. Et à mesure que votre entreprise évolue et que de nouveaux risques apparaissent, vous devrez rechercher des opportunités pour améliorer les processus et contrôles existants.

La norme ISO 27001 exige des audits internes périodiques dans le cadre de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques pour chercher des faiblesses potentielles et des domaines d'amélioration avant un audit externe.

Le processus d'audit de certification ISO 27001

  • Phase 1 : Revue de conception du SMSI
    Examiner la documentation du SMSI pour s'assurer que les politiques et procédures sont correctement conçues.
  • Phase 2 : Audit de certification
    Examiner les processus métier et les contrôles pour vérifier leur conformité aux exigences du SMSI et de l'Annexe A.
  • Audits de surveillance
    Assurer que votre programme de conformité ISO 27001 est toujours efficace et maintenu.
  • Audit de recertification
    À la fin de la période de certification de 3 ans, un audit de recertification évalue la conformité du SMSI et des contrôles de l'Annexe A. La recertification est valable pour 3 années supplémentaires.

Une fois que vous avez construit votre SMSI, complété une évaluation des écarts, mis en œuvre des contrôles, formé votre personnel et collecté des preuves, vous êtes prêt à commencer le processus d'audit.

Un audit formel ISO 27001 se déroule en plusieurs étapes :

Phase 1 : Revue de conception du SMSI

Examiner la documentation du SMSI pour s'assurer que les politiques et procédures sont correctement conçues.

À ce stade, votre auditeur vérifiera que votre documentation est conforme aux exigences du SMSI ISO 27001 énumérées dans les clauses 4 à 10. Il signalera également tout écart ou opportunité d'amélioration de votre SMSI.

Une fois que vous avez mis en œuvre les modifications suggérées, vous êtes prêt pour votre audit de Phase 2.

Phase 2 : Audit de certification

Examiner les processus métier et les contrôles pour garantir leur conformité aux exigences du SMSI ISO 27001 et de l'Annexe A.

C'est à ce moment que votre auditeur effectuera une évaluation détaillée pour déterminer si votre organisation satisfait aux exigences de la norme ISO 27001.

Une fois les audits de Phase 1 et de Phase 2 terminés, votre certification ISO 27001 est valable pour trois ans.

Audits de surveillance

Au cours de votre période de certification de trois ans, vous devrez mener des audits continus. Ces audits garantissent que votre programme de conformité ISO 27001 est toujours efficace et maintenu.

Les audits de surveillance vérifient que les organisations maintiennent correctement leur SGSI et les contrôles de l'annexe A. Les auditeurs de surveillance vérifieront également que toutes les non-conformités ou exceptions notées lors de l'audit de certification ont été traitées.

Audit de recertification

Au cours de la dernière année de la période de certification ISO de trois ans, votre organisation peut subir un audit de recertification.

Similaire à l'étape 2, l'auditeur effectuera une évaluation détaillée pour déterminer si votre organisation répond aux exigences de l'ISO 27001 en matière de conception des processus/contrôles et d'efficacité opérationnelle.

Après avoir terminé l'audit de recertification, votre certification ISO 27001 est valable pour trois années supplémentaires. La plupart des organisations consacrent entre 6 et 12 mois à se préparer et à réaliser un audit de certification ISO 27001.

Exigences ISO 27001 : preuves des processus

Lors de votre audit de certification, votre auditeur devra évaluer différents aspects de votre SGSI, y compris les politiques, les processus métier et les preuves à l'appui.

Voici une base de la documentation que vous devrez fournir à votre auditeur :

  • Périmètre du SGSI
  • Politique de sécurité de l'information
  • Processus d'évaluation des risques de sécurité de l'information
  • Processus de traitement des risques de sécurité de l'information
  • Déclaration d'applicabilité
  • Objectifs de sécurité de l'information
  • Preuve de compétence
  • Programme de formation à la sensibilisation à la sécurité et résultats
  • Résultats de l'évaluation des risques de sécurité de l'information
  • Résultats du traitement des risques de sécurité de l'information
  • Preuve de surveillance et de mesure des résultats
  • Processus d'audit interne documenté
  • Preuves des programmes et résultats d'audit
  • Preuves des résultats des revues de direction
  • Preuves des non-conformités et des remédiations
  • Preuves des résultats de remédiation
  • Preuves d'activité de contrôle de l'annexe A

Schéma du processus de certification ISO 27001

Le processus de certification ISO 27001 peut sembler intimidant, mais il ne doit pas être si écrasant. Ce schéma vous aidera à visualiser le processus de certification ISO 27001, à le décomposer en étapes gérables et à suivre vos progrès vers la conformité.

Simplifiez le processus avec Secureframe

Une fois que vous avez créé des politiques et rassemblé des preuves pour votre audit ISO 27001, vous aurez probablement des centaines de documents à collecter, cataloguer et mettre à jour. Et vous devrez vous assurer que toute votre documentation est organisée avec les bons contrôles et exigences afin que votre auditeur puisse tout vérifier.

Secureframe peut simplifier le travail lourd pour rendre le processus de préparation et de maintien de la conformité plus gérable et moins stressant. Nous vous aiderons à construire un SGSI conforme, à surveiller votre pile technologique pour les vulnérabilités et à gérer les risques. Planifiez une démo pour en savoir plus.